Comodo 5.x系列新增功能赏析，欢迎毛豆迷们指正！希望能帮到一些人

紫涵

柯林 发表于 2011-11-18 20:04
ZA算是大众化里做得比较好的墙，所以一直被评第一。不过这墙也有脑残的地方——天生要求配合它家的杀软使 ...

没有啦，以前从ZA5.5用到ZA9都没有用过ZA的套装。
只用过ZA的PRO版，配什么杀软都很随便的，卡巴，诺顿。

a256886572008

柯林 发表于 2011-11-18 19:16
不能控制程序联网的墙，就不算一个合格的墙。
ZA最受人称赞的一点，任何程序联网都要弹窗询问用户，这是 ...

瑞星墙虽然很多人诟病，我也对它不感冒，但它做得细致的一点，不但精确到访问网络的exe等文件，还精确到dll等文件，让人知道某个宿主程序的网络访问实际上是由某个dll之类的程序在发起，这是进步。

------------------------------------------
你是說 rundll32.exe被調用 訪問網路 嗎？

這個，comodo 有命令行檢測，防火牆 直接報 dll 想訪問網路。

qqq123123

sanhu35 发表于 2011-11-18 18:51
开启沙盘后  信任程序和未知程序的规则流程是怎么样的？会受哪里的规则影响？

帖子更新了说明，可以参考下！···

guoguo3003

学习一下

柯林

a256886572008 发表于 2011-11-18 20:06
瑞星墙虽然很多人诟病，我也对它不感冒，但它做得细致的一点，不但精确到访问网络的exe等文件，还精确到d ...

不是单纯说rundll32.exe，而是除了系统与网络相关的主要dll之外，任何正在参与网络活动或曾经要求进行网络访问的dll，会有一个列表显示。LNS就有过这功能，一个程序访问网络时，相关dll如果参与网络访问，防火墙就会提示。

紫涵

柯林 发表于 2011-11-18 21:58
不是单纯说rundll32.exe，而是除了系统与网络相关的主要dll之外，任何正在参与网络活动或曾经要求进行网络 ...

看来BUG就在系统和网络相关的DLL身上了，只要病毒调用系统和网络相关的DLL，瑞星防火墙就是哑巴。

柯林

紫涵 发表于 2011-11-18 22:01
看来BUG就在系统和网络相关的DLL身上了，只要病毒调用系统和网络相关的DLL，瑞星防火墙就是哑巴。

可能我记错了，究竟是否显示所有联网dll，记不大清，有兴趣可以安装了检查下。

LNS和瑞星设计这功能的用意，是防止病毒dll注入正常进程。譬如说，安装迅雷之后，一般的防火墙只能显示explorer联网了，但是它们却能告诉你，不是explorer在联网，而是迅雷那个注入explorer的dll在联网。这对于防马是一个加强。譬如大家都知道，svchost.exe正常情况下都要联网，如果有病毒注入它，它去访问远程80端口或者53端口之类，一般的墙会以为正常，你看不出异样，但是它们却能告诉你，是坏东东在命令svchost办事。这应该算是进步。

紫涵

柯林 发表于 2011-11-18 22:08
可能我记错了，究竟是否显示所有联网dll，记不大清，有兴趣可以安装了检查下。

LNS和瑞星设计这功能 ...

嗯，这个毛豆的防火墙现在办不到。

柯林

紫涵 发表于 2011-11-18 22:11
嗯，这个毛豆的防火墙现在办不到。

你担心的病毒调用系统dll上网来达成攻击，一般来讲不成立。系统那些网络处理模块，本来就是分散在相关dll之中，提供接口来允许上网程序访问和使用其功能的，不存在劫持的问题。

一双拖鞋

为方便新手快速入手Comodo，特此搜集整理了相关资料，感谢那些为Comodo发展做出贡献的童鞋！
--------------------------------------------------------------------
（一）、对于规则中出现的“|”的解释：
1、对于在“受保护文件和文件夹”中添加的规则中含有“|”的：不允许新建、修改、删除；
2、对于没有在“受保护文件和文件夹”中添加的规则中含有“|”的：允许新建，不允许修改、删除；
--------------------------------------------------------------------
（二）在毛豆的设置中有这样一个选项：不显示弹出警告（允许请求、阻止请求）
1、不显示弹出警告-允许请求：本来应该弹窗询问的，勾选该项后，毛豆会默认允许该操作；
2、不显示弹出警告-阻止请求：本来应该弹窗询问的，勾选该项后，毛豆会默认阻止该操作；
--------------------------------------------------------------------
（三）为什么开启安全模式后，防火墙都是一路放行，没有弹窗？
1、将毛豆的sandbox安全级别设为“启用”；
2、将防火墙“网络安全规则”里面的“应用程序规则”清空；（此时已经会弹窗了）
3、如果此时勾选“不显示弹出警告-阻止请求”，那么自动入沙的程序都会被默认阻止联网了；（既安全又安静）
--------------------------------------------------------------------
（四）为什么很多的程序能正常运行，但是都没有任何规则？
1、将Defense+设置里面勾选“创建安全程序规则”；
2、将防火墙设置里面勾选“创建安全程序规则”；
--------------------------------------------------------------------
（五）D+设置里面的“启用增强保护模式（需要重启系统）”是什么意思？
1、勾选后需要重启系统才能生效；
2、据了解是为了更好的兼容性，让用户自主选择是否勾选；
--------------------------------------------------------------------
（六）开启沙盒后程序运行的流程是什么样的？
1、当毛豆的sandbox安全级别设为“启用”时，会受到对应级别内置规则的影响；
2、开启沙盒的同时还建议开启的操作有：开启安全模式+开启在线云鉴定，这样就拥有了本地白名单和云端的海量白名单，同时云还能帮你实时鉴定文件信任级别和发现恶意程序；
3、总流程如下：D+黑名单（最高优先级）->D+的设置中明确阻止的项目（若是允许或者询问，毛豆会直接理解为跳过或者允许）->D+中受保护的文件和文件夹中带“|”的规则（不带“|”的文件和文件夹可以直接访问，具体参考第一条）->沙盒的不同安全级别的设定（内置规则的限制）
4、简单总结下：虽然我们不能设定沙盒具体的内置规则，但是我们可以通过第3条了解到，通过D+可以辅助并且提高沙盒的安全程度，真可谓相得益彰；